Questo problema deve essere risolto con l'aggiornamento dell'ENS 10.7.0 2020 novembre.
Risoluzione dei problemi:
Se si continua a osservare una crescita imprevista nelle dimensioni della cartella, attenersi alla procedura riportata di seguito:
- Attivare la registrazione di debug ENS nel sistema interessato.
- Eseguire un AMTrace monitoraggio dei processi e per alcuni minuti, mentre le dimensioni della cartella sono in aumento. Per istruzioni, consultare KB86691-procedura minima di raccolta dei dati per Endpoint Security problemi.
- Eseguire il comando seguente da CLI nel sistema interessato:
dir C:\$mfedeeprem\ /s >> c:\temp\deeprem.txt
- Eseguire immediatamente un requisito di escalation minimo (MER). Una volta completato, fornire il deeprem.txt file (zippato se di grandi dimensioni), AMTrace registro e registro monitor di processo per assistenza tecnica.
Sfondo
- Ogni processo appena avviato con una reputazione di 50 ("" sconosciuto) o inferiore viene monitorato per una migliore remediation. Inoltre, qualsiasi processo già in esecuzione con una reputazione ridotta a 50 o inferiore a causa del caricamento di una DLL sconosciuta o dannosa è soggetto a monitoraggio.
- Se l'attività di remediation avanzata viene avviata per un processo e nessun rilevamento da parte di un ATP programma di scansione avviene entro 10 minuti, il monitoraggio si interrompe per tale processo e la mfedeeprem dll non viene iniettata. I dettagli della sessione in vengono spostati c:\$mfedeeprem\terminated_sessions\ in c:\$mfedeeprem\current_sessions\ .
- Ogni cinque minuti di uptime del sistema, l'intero contenuto di c:\$mfedeeprem\terminated_sessions\ sono archiviati in c:\$mfedeeprem\archived_sessions\ .
- Tutte le sessioni archiviate che diventano più vecchie di 30 giorni vengono eliminate automaticamente.
- Per attivare l'archiviazione immediata della cartella delle sessioni terminate in qualsiasi momento, disattivare e riattivare ATP.
Test:
Per confermare che la funzione di remediation avanzata funziona, eseguire i seguenti comandi da CLI su un sistema di test:
copy c:\windows\system32\calc.exe c:\temp\not_calc.exe
echo "test" >> c:\temp\not_calc.exe
start c:\temp\not_calc.exe
La modifica
calc.exe viene avviata, ma ora con una reputazione sconosciuta. Viene visualizzato un nuovo GUID di sessione creato in
\current_sessions\ e se è stata attivata la registrazione ENS ATP debug, il
EnhancedRemediation_Debug registro deve disporre di voci con l'ID sessione e altri dettagli associati al monitoraggio di
not_calc.exe .
Esclusioni
Aggiungere un'esclusione per il percorso del processo o il nome del file nella scansione all'accesso assegnata policy esclusioni di rischio standard. Questa esclusione impedisce inoltre alla DLL di remediation migliorata associata di iniettare il processo.
- Se si è utenti registrati, digitare l'ID utente e la password, quindi fare clic su accesso.
- Se non si è utenti registrati, fare clic su registra e completare i campi per inviare via email i password e le istruzioni.